Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-7834

Опубликовано: 11 июн. 2018
Источник: nvd
CVSS3: 6.1
CVSS2: 4.3
EPSS Низкий

Уязвимость подмены контента безопасности через ошибку наследования CSP с использованием URL "data:" в Firefox

Описание

В Firefox обнаружена уязвимость, при которой URL 'data:', открытый в новой вкладке, не наследует политику безопасности контента (CSP) оригинальной страницы. Это позволяет обойти политику и выполнять JavaScript. В предыдущих версиях, когда документы 'data:' также наследовали контекст оригинальной страницы, это могло привести к потенциальным атакам межсайтового скриптинга (XSS).

Затронутые версии ПО

  • Firefox версия ниже 57

Тип уязвимости

  • Подмена безопасности CSP
  • Межсайтовый скриптинг (XSS)

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*
Версия до 56.0.2 (включая)

EPSS

Процентиль: 76%
0.00984
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2017-7834

CVSS3: 6.1
ubuntu
больше 7 лет назад

A "data:" URL loaded in a new tab did not inherit the Content Security Policy (CSP) of the original page, allowing for bypasses of the policy including the execution of JavaScript. In prior versions when "data:" documents also inherited the context of the original page this would allow for potential cross-site scripting (XSS) attacks. This vulnerability affects Firefox < 57.

debian логотип

CVE-2017-7834

CVSS3: 6.1
debian
больше 7 лет назад

A "data:" URL loaded in a new tab did not inherit the Content Security ...

github логотип

GHSA-5q3m-44wf-w4hc

CVSS3: 6.1
github
больше 3 лет назад

A "data:" URL loaded in a new tab did not inherit the Content Security Policy (CSP) of the original page, allowing for bypasses of the policy including the execution of JavaScript. In prior versions when "data:" documents also inherited the context of the original page this would allow for potential cross-site scripting (XSS) attacks. This vulnerability affects Firefox < 57.

fstec логотип

BDU:2021-00215

CVSS3: 6.1
fstec
почти 9 лет назад

Уязвимость реализации механизма CSP (Content Security Policy браузера Mozilla Firefox, позволяющая нарушителю проводить межсайтовые сценарные атаки

EPSS

Процентиль: 76%
0.00984
Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79